DeFi (Decentralized Finance、分散型金融)のサービスを利用する上で、ユーザーが注意すべきリスクと対策をまとめています。
DeFiのエコシステムの成長は著しく、新しいサービスが日々リリースされています。UXの向上も目覚しく、暗号通貨があれば誰でも簡単に利用することができるようになってきています。
一方で、DeFiサービスはまだまだ未成熟なところがあります。簡単に利用できる金融サービスだからと言って、リスクを顧みずにサービスを利用していると自身の資産を失う可能性もあります。
そんなDeFiサービスを健全に利用できるように、ユーザーが注意すべきリスクと対策についてまとめてみました。
なぜGithubにあげることにしたのかについては2つの理由があります。
1. 定期的な更新が必要だから
DeFiのリスクと対策は時間を追うごとに変化していきます。今日学んだ話は、来月には陳腐化している可能性はあります。
2. みんなで共同編集をしたいから
こちらのGithubはDeFi Japanのモデレーターの一人であるMayatoが有志で一人で書いているものですが、私一人の知見では限界があります。
Githubにすることで誰でも間違いを指摘したり、内容を追記または編集することができます。なので内容を編集または追加したい方はプルリクを送ってください。(基本的なスタンスとしては、改善や加筆に関するプルリクは承認します。)
DeFiのサービスの裏側ではスマートコントラクトが動いています。そのスマートコントラクトのコードは誰でも見ることができます。もしスマートコントラクトのコードに何か脆弱性やバグがあった場合には、スマートコントラクトが予期しない動きをします。最悪のケースでは、ハッカーに脆弱性をつかれサービスを利用している人の資産が盗まれてしまうことがあり得ます。
どのDeFiサービスでも暗号通貨が利用されていますが、その暗号通貨の価格情報はサービスのコントラクト外の第三者から引っ張ってきていています。このことをオラクルと言います。もしその参照価格に誤りがあったり、意図的に歪められたりしているとサービス内での暗号通貨の取引価格が他のサービスと大きく解離をしてしまい、大きく損をする可能性があります。
DeFiサービスのスマートコントラクトには、コントラクト内のパラメーターの変更などのスマートコントラクトをアップデートすることができるアドミンコントラクトがあります。こちらはDeFiサービスの提供者がadmin keyを使って管理しています。提供者がパラメーターの変更を勝手に行う可能性だけではなく、このadmin keyがハッカーに盗まれてしまうと最悪のケースとしてユーザーの資産が盗まれる可能性もあり得ます。
DeFiサービスの中には、パラメーターの調整や機能追加などのスマートコントラクトのアップデートをDAOによるオンチェーンガバナンスで行っているところがあります。一般には、ガバナンストークンを通じてアップデートの提案と投票が行われます。しかし、もし悪意のある人が過半数以上の票を集めると、ガバナンスシステムが乗っ取られ、ユーザーの資産に被害を与えるような変更が行われる可能性が出てきます。
ここでいう外部プラットフォーム依存リスクはスマートコントラクトと暗号通貨の二点です。いくつかのDeFiサービスは、スマートコントラクトを通じて他のサービスとつながっていたりします。もし外部のDeFiサービスに何か異常が発生すると、そのサービスに接続している他のDeFiサービスに何らかの悪影響が及びます。他のプロジェクトが発行している暗号通貨をサービス内で利用している場合同じことが言えます。上記に記載されているオラクルも同様です。
暗号通貨は一般的にボラティリティの高いリスク資産といえます。鯨と呼ばれる大口のトレーダーが取引を行うだけで価格が乱高下し、自身の資産価値が目減りする可能性があります。
また、いくつかのDeFiのサービスでは、ユーザーが暗号通貨を担保に借り入れをできますが、担保資産の価値が下落し、担保比率を下回るとスマートコントラクトによって自動で担保が清算されてしまうことがあります。
流動性リスクは、サービス内で取引が少なすぎて、取引ができなかったり、不利な価格で損をするというものです。DEX(分散型取引所)であれば、売りたい時に売れない、買いたい時に買えない、または市場の相場価格と大きく乖離があり不利な価格で取引せざるを得ないとった状況です。マネーマーケットのサービスでは、銀行の取り付け騒ぎのように引き出せなくなるといった可能性があり得ます。
暗号通貨の価格が流通量によって決められるAMM (Automated Money Market)などでは、流動性が低いと、大口の取引で一気に価格が変動することがあります。
DeFiサービスは、グローバルで利用ができる金融サービスです。しかし、一般的には世界各国で金融業には規制がかけられています。もしある国の金融の規制を監督している当局がDeFiサービスの事業者にサービスの利用停止または制限をかけるなどの行政処分をした場合、そのDeFiサービスへのアクセスが制限されるまたは閉じられてしまうといった可能性があります。
専門的な解説が入りますので、あまり詳しくない方はこのセクションを飛ばしていただいて大丈夫です。
スマートコントラクトのリスクを軽減するためにDeFiプロジェクトは外部のスマートコントラクト監査企業やセキュリティの専門家にコードに何かバグがないか、ハッカーによる潜在的なアタックベクターがないかを事前に検証してもらいます。コードの内容をチェックするコード監査と数学的な式のシミュレーションにより問題がないかを検証する形式的検証の2つがあります。
プライスフィードを提供するオラクルの問題を解決するためにDeFiプロジェクトは、オラクルのソースを分散化させ、一つのオラクルになんらかの致命的な問題があってもサービスに影響を与えないようにします。他のDeFiサービスによるオンチェーンと現実世界の金融機関などのオフチェーンの両方のプライスフィードを引っ張ってくるのが最近の傾向です。
Admin keyを持つ管理者による**集権リスクを避けるために、DeFiプロジェクトはHashed Time Locked Contractと呼ばれるコントラクトのアップデートにかかる設定時間を設けています。こうすることで何か異常なアップデートが行われた時に、ユーザーがサービスから資産を退避させることができたりします。また、DAOガバナンスにすることで、意思決定を分散的に行おうと試みています。そして盗難リスク対策としては、マルチシグウォレットにすることで、一つのアドレスによるコントロールをできないようにします。
ガバナンスが乗っ取られないように、DeFiサービス企業は初期の分配量を調整することで市場に流通するガバナンストークンの量を抑えたり、信頼のできる支援元VCや他のDeFiサービス企業に提供することで、段階的な分散型ガバナンスを実践しようとしています。また、コントラクトが変更されるまでの時限を設けることで、最悪のシナリオとして悪意のある人にガバナンスが乗っ取られた場合に、都合の良い変更が起こされる前に、コミュニティの総意でハードフォークをして未然に防ぐといった考えも見られます。
DeFiはこれまで金融機関が提供してきたサービスや業務をユーザー自身またはスマートコントラクトが代替します。なのでユーザーが背負う責任は従来の金融サービスと比較して大きくなります。
まずユーザーは自分自身が資産の管理人となり責任を持つということを明確に意識しましょう。秘密鍵を使ってウォレット内の自分の資産に自由にアクセスすることができます。その資産を他のアドレスに移すのも、その資産にアクセスするための秘密鍵を管理するのもユーザーの責任です。なので、秘密鍵を紛失してしまったり、何か間違った取引を行った場合、誰も助けることはできません。
自身の大切な資産を突っ込む前に、そのDeFiプロダクトの内容や仕組みやリスクについて十分に理解をしましょう。まずは一次情報に触れることが大切です。そのプロジェクトが提供しているホワイトペーパーやドキュメントをしっかり読み込みましょう。もしスマートコントラクトの監査を受けていれば、監査企業が提供しているレポートに目を通しましょう。DeFiのリスクについて評価をしているDeFi Scoreというサービスもあります。それを確認するのも良いでしょう。
もし上でサービスの内容について不明やわからないこと点があれば、そのサービスが提供しているオンラインコミュニティまたはDeFiのテレグラムグループで質問をして、不明な点をなくしましょう。
DeFiプロダクトが世の中にリリースされる際にアップルストアのような審査はありません。なので、コントラクトに何か問題を抱えた状態でリリースされる可能性があります。もしご自身で技術的なリスクについて判断ができない場合、そのプロダクトがリリースされてから少し待つのが良いでしょう。多くのプロダクトがアルファ版としてリリースをして、バグバウンティなどでバグの発見に褒賞を出し、コミュニティにセキュリティを審査してもらっています。または、もしプロダクトに問題があればハッキングされてしまうでしょう。なのでリリースされたばかりのサービスは慎重に利用する、または時間が経つのを待ちましょう。
DeFiサービスの技術や開発は日進月歩しており、新しく開発された技術やサービスによって既存のサービスが影響を受けたりします。Flash Loanと呼ばれる1トランザクション内で、資本を借りて返すというサービスもその一つで、DeFiサービスが攻撃され被害に遭うということがありました。一方で、よりリスクを軽減するような技術やサービスも日々開発されているので、常に最新の情報を仕入れ、自分の知識をアップデートするということはとても重要です。
上記の全てを守ったとしても、利用しているDeFiサービスでなんらかのハッキングが起きて自身の資産が被害に被るという可能性は拭きれません。これはFacebookのような大企業でさえ、ハッキング被害に遭い利用者の個人情報が流出することがあると考えれば、まだ未成熟な技術のさスタートアップサービスにリスクがあるのは当然でしょう。そんなDeFiサービスにハッキングが起きた際の被害額を補填してくれるDeFi保険サービスがあります。Nexus Mutualなどがそうです。
- そのサービスのホワイトペーパーや監査レポートに目を通しましたか?
- そのサービスの仕組みとリスクについてちゃんと理解をしましたか?
- そのサービスは、コントラクトの監査を受けていますか?
- DeFi Scoreでそのプロトコルのリスクはチェックしましたか?
- そのサービスは、リリースされてからある程度時間が経ち、コミュニティに触られていますか? (バトルテスト済みか?)
- 最悪のケースとして自分の資産が失うリスクの許容度を超えていませんか?
他にも何かオススメの記事があればどんどんプルリクを送ってください!
その他内容の変更などのプルリクどしどしお待ちしております!
Mayato Hattori (4月27日に執筆)